Microsoft Security Advisory 3033929
Verfügbarkeit der SHA-2-Codesignaturunterstützung für Windows 7 und Windows Server 2008 R2
Veröffentlicht: 10. März 2015
Version: 1.0
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Neuausgabe eines Updates für alle unterstützten Editionen von Windows 7 und Windows Server 2008 R2 an, um Unterstützung für SHA-2-Signatur- und Überprüfungsfunktionen hinzuzufügen. Dieses Update ersetzt das 2949927 Update, das am 17. Oktober 2014 zurückgenommen wurde, um Probleme zu beheben, die einige Kunden nach der Installation erlebt haben. Wie bei der ursprünglichen Version erfordern Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT und Windows RT 8.1 dieses Update nicht, da SHA-2-Signatur- und Überprüfungsfunktionen bereits in diesen Betriebssystemen enthalten sind. Dieses Update ist für Windows Server 2003, Windows Vista oder Windows Server 2008 nicht verfügbar.
Empfehlung Kunden, die die automatische Aktualisierung aktiviert und für die Onlineüberprüfung auf Updates von Microsoft Update konfiguriert haben, müssen in der Regel keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Kunden, die Updates manuell installieren (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, das Update frühestens mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software " in dieser Empfehlung verfügbar.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| Informationsquellen | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 3033929 (ersetzt 2949927) |
Betroffene Software
In dieser Empfehlung wird die folgende Software erläutert.
| Betriebssystem | **Updates ersetzt ** |
|---|---|
| Windows 7 für 32-Bit-Systeme Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows 7 für x64-basierte Systeme Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1\ (3033929)(1) | 3035131 in MS15-025 |
| Server Core-Installationsoption | 3035131 in MS15-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) \ (3033929)(1) | 3035131 in MS15-025 |
[1]Das 3033929 Update hat binärdateien gemeinsam mit dem 3035131 Update, das gleichzeitig über MS15-025 veröffentlicht wird, beeinflusst. Kunden, die Updates manuell herunterladen und installieren und planen, beide Updates zu installieren, sollten das 3035131-Update installieren, bevor Sie das 3033929 Update installieren. Weitere Informationen finden Sie in den Häufig gestellten Fragen (FAQ) zu Den Beratungen.
Häufig gestellte Fragen zu Beratungen
Was ist der Umfang der Beratung?
Dieser Hinweis dient dazu, Kunden über ein Update zu informieren, das dem SHA-2-Hashing-Algorithmus Funktionen zu allen unterstützten Editionen von Windows 7 und Windows Server 2008 R2 hinzufügt.
**Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt? **
Nein Eine Signaturmechanismus-Alternative zu SHA-1 ist seit einiger Zeit verfügbar, und die Verwendung von SHA-1 als Hashingalgorithmus für Signaturzwecke wurde abgeraten und ist keine bewährte Methode mehr. Microsoft empfiehlt stattdessen die Verwendung des SHA-2-Hashing-Algorithmus und veröffentlicht dieses Update, damit Kunden digitale Zertifikatschlüssel zum sichereren SHA-2-Hashing-Algorithmus migrieren können.
**Was ist die Ursache des Problems mit dem SHA-1-Hashing-Algorithmus?
**Die Ursache des Problems ist eine bekannte Schwäche des SHA-1-Hashing-Algorithmus, der es Kollisionsangriffen verfügbar macht. Solche Angriffe könnten es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die dieselbe digitale Signatur wie ein Original aufweisen. Diese Probleme sind gut verstanden und die Verwendung von SHA-1-Zertifikaten für bestimmte Zwecke, die Widerstand gegen diese Angriffe erfordern, wurde abgeraten. Bei Microsoft ist der Security Development Lifecycle erforderlich, dass Microsoft den SHA-1-Hashing-Algorithmus nicht mehr als Standardfunktionalität in Microsoft-Software verwendet. Weitere Informationen finden Sie unter Microsoft Security Advisory 2880823 und dem Windows PKI-Blogeintrag SHA1 Deprecation Policy.
Was geschieht mit dem Update?
Das Update fügt SHA-2-Hashing-Algorithmussignatur- und Überprüfungsunterstützung zu betroffenen Betriebssystemen hinzu, die Folgendes umfasst:
- Unterstützung für mehrere Signaturen in Cab-Dateien
- Unterstützung für mehrere Signaturen für Windows PE-Dateien
- Benutzeroberflächenänderungen, die das Anzeigen mehrerer digitaler Signaturen ermöglichen
- Die Möglichkeit, RFC3161 Zeitstempel an die Codeintegritätskomponente zu überprüfen, die Signaturen im Kernel überprüft
- Unterstützung für verschiedene APIs, einschließlich CertIsStrongHashToSign, CryptCATAdminAcquireContext2 und CryptCATAdminCalcHashFromFileHandle2
Was ist secure Hash Algorithm (SHA-1)?
Der Secure Hash Algorithm (SHA) wurde für die Verwendung mit dem Digital Signature Algorithm (DSA) oder dem Digital Signature Standard (DSS) entwickelt und generiert einen 160-Bit-Hashwert. SHA-1 hat bekannte Schwächen, die sie Kollisionsangriffen ausgesetzt sind. Solche Angriffe könnten es einem Angreifer ermöglichen, zusätzliche Zertifikate zu generieren, die dieselbe digitale Signatur wie ein Original aufweisen. Weitere Informationen zu SHA-1 finden Sie unter Hash- und Signaturalgorithmen.
Was ist RFC3161?
RFC3161 definiert das Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), das das Format von Anforderungen und Antworten auf eine Zeitstempelautorität (Time Stamping Authority, TSA) beschreibt. Die TSA kann verwendet werden, um zu beweisen, dass eine digitale Signatur während des Gültigkeitszeitraums eines Öffentlichen Schlüsselzertifikats generiert wurde, siehe X.509 Public Key Infrastructure.
Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu der der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist (wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw.). Weitere Informationen finden Sie unter Understanding Public Key Cryptography and Digital Certificates.
Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise gibt es überhaupt keine Notwendigkeit, über Zertifikate nachzudenken, abgesehen von der gelegentlichen Meldung, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollte man den anweisungen folgen, die in der Nachricht angegeben sind.
Wie bezieht sich dieses Update (3033929) auf das in MS15-025 erläuterte 3035131 Update?
Dieses Update (3033929) teilt die Binärdateien mit dem 3035131 Update, das gleichzeitig über MS15-025 veröffentlicht wird. Diese Überlappung erfordert, dass ein Update das andere ersetzt und in diesem Fall das Empfehlungsupdate 3033929 Das Update 3035131 ersetzt. Kunden mit aktivierter automatischer Aktualisierung sollten kein ungewöhnliches Installationsverhalten aufweisen; Beide Updates sollten automatisch installiert werden, und beide sollten in der Liste der installierten Updates angezeigt werden. Für Kunden, die Updates manuell herunterladen und installieren, bestimmt die Reihenfolge, in der die Updates installiert werden, das beobachtete Verhalten wie folgt:
Szenario 1 (bevorzugt): Der Kunde installiert zuerst update 3035131 und installiert dann das Empfehlungsupdate 3033929.
Ergebnis: Beide Updates sollten normal installiert werden, und beide Updates sollten in der Liste der installierten Updates angezeigt werden.
Szenario 2: Der Kunde installiert zuerst das Empfehlungsupdate 3033929 und versucht dann, update 3035131 zu installieren.
Ergebnis: Das Installationsprogramm benachrichtigt den Benutzer, dass das 3035131 Update bereits auf dem System installiert ist; und das 3035131 Update wird NICHT zur Liste der installierten Updates hinzugefügt.
Vorgeschlagene Aktionen
Anwenden des Updates für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software " in dieser Empfehlung verfügbar.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Empfehlung veröffentlicht.
Seite generiert 2015-03-04 14:52Z-08:00.